汽车网络安全终于到了大放异彩的时候了。即将推出的新法规和标准,以及不断扩大的汽车网络攻击规模,正在优先考虑在全球领先的原始设备制造商之间建立网络安全运营。原始设备制造商正在迎接挑战,其中许多已经在运营或正在建立他们的车辆安全运营中心 (VSOC)。
关于 VSOC,并没有什么新鲜事——除了首字母缩写词的 V 部分。SOC 的三位一体——人员、流程和技术——确保 IT 系统的安全和可靠也与 VSOC 相关。
人们操作实际的中心,使用流程和剧本,为他们提供关于他们应该如何应对不同场景的精确说明。最后,人工智能和机器学习等技术通过自动化手动流程和减少信息过载来减轻 SOC 人员的负担。
1、它到底是谁的 SOC?
VSOC 的引入引发了有关组织所有权的新问题。CISO 声称他们现有的 SOC 可以扩展到 IT 之外,将网络安全纳入汽车产品。另一方面,负责在车辆开发过程中嵌入强大网络防御的产品安全团队争辩说,VSOC 将他们的管辖范围扩展到后期制作,并希望这一新功能在他们的授权下。
事实上,虽然汽车网络安全与 IT 网络安全有许多相似之处,但我认为它们应该作为完全不同的功能来处理。尽管三位一体在 VSOC 中仍然适用,但使其运行的人员、流程和技术与用于运营 IT SOC 的人员、流程和技术有所不同。出于这个原因——以及我们即将深入探讨的其他原因——VSOC 应该由精通车辆产品安全的专家操作。
3、VSOC 应与 IT SOC 分离的 5 个原因
联网车辆的构建和运行方式与 IT 系统有着根本的不同,IT 系统要求采用不同的方法来进行持续的、生产后的监控和事件响应。
1. 领域不重叠:车辆系统与 IT 系统有着根本的不同。它们依赖于具有不同技术生态系统的嵌入式系统,例如特殊的硬件架构和不同的操作系统 (OS),包括用于关键任务组件的实时操作系统,这造成了巨大的知识鸿沟,阻碍了将 IT SOC 中的程序利用到VSOC。此外,虽然人们可能会认为 IT 网络安全领域的专家可以很容易地为汽车网络安全重组,但事实并非如此。如果 1 级甚至 2 级安全专家拥有正确的行动手册和可用技术,他们就有可能同时处理 IT SOC 和 VSOC。然而,负责了解汽车领域不同协议、操作系统、硬件架构和威胁的关键 3 级产品安全事件响应团队 (PSIRT) 是高度专业化的。即使不是完全不可能,也极不可能获得具有这两个领域相关专业知识的人才。
2. 不同的网络风险:90% 的 IT 网络攻击是网络钓鱼企图;然而,联网车辆的网络威胁地图要复杂得多,包括勒索软件和 DoS 攻击。更重要的是,两者之间的技术攻击向量差异很大,成功攻击的潜在影响也是如此。
3. 威胁情报来源不兼容:威胁情报来源提供了大量关于已知攻击媒介的专业知识以及应采取的缓解措施。在 IT 世界中,有一个强大的网络专业人士社区,他们彼此分享知识和智慧(例如,MITRE ATT&CK 框架)。然而,这些情报来源并不特定于汽车行业。更多以汽车为中心的数据源,如 Auto-ISAC,可提供相关性更高的情报。
4. 事件响应:强制补丁(专门为消除漏洞而部署的安全更新)是 IT SOC 的标准补救技术。在汽车行业,车辆只有在实际运行时才会连接,这种技术只有通过与支持无线 (OTA) 更新的外部系统集成才可行。此外,虽然为组织的专有 IT 系统和设备部署补丁是他们的权利,但当补丁用于现在属于私人消费者的系统时,这并不适用。
5. IT 环境是为处理大数据而构建的:在 IT 网络中,近乎无限的带宽意味着持续发送、存储和处理大量数据几乎没有财务成本。节点安装了“哑”适配器,将大量原始数据和日志推送到 SIEM。数以千万计的互联汽车使用成本高昂的蜂窝数据连接到云端——每辆汽车平均每小时产生 25 GB 的数据——这种方法在汽车行业是不可行的。这个问题可以通过在车辆中添加智能功能来解决,以便只推出关键的相关数据。
3、要点:将 SOC 升级为 VSOC
设计良好的 VSOC 还将包括以下功能:
1. 汽车情境感知: VSOC 必须能够理解车辆情境中的威胁、其复杂的架构及其独特的技术生态系统。这就是可以利用网络数字孪生(CDT) 技术来快速评估威胁的可利用性和严重性、最大限度地减少不相关的警报并支持在发生真正的安全事件时进行快速根本原因分析的地方。
2. 集成响应:快速有效地关闭安全回路需要 VSOC 与资产管理系统、OTA 更新系统、SIEM 与来自车辆的远程信息处理数据(如果可用)等集成。
3. 影响分析:与车辆安全问题相关的潜在灾难性后果和高风险要求及时分析整个组织的每个威胁,以确定对其他车辆/组件的影响并防止漏洞变成事件。在这里,CDT 也可以通过加快整个资产基础的影响分析来发挥作用。
无论在公司层次结构中看到 VSOC 的哪个位置,确保将汽车领域专家、流程和技术到位对于成功至关重要。